上個月，我們的網(wǎng)站遭到了一次CC攻擊。雖然我對CC的防御還是比較了解，但是真正遇到時依然打了我個措手不及。CC防御是一件比較繁瑣的事，面對各種不同類型的攻擊，防御方式也不盡相同。當(dāng)面臨攻擊來的太快量也很大這種情況，在自身環(huán)境下做調(diào)整已經(jīng)無法抵抗攻擊。為了緩解網(wǎng)站壓力，在嘗試了其他方式后最終還是選擇切換到了百度云加速高防CDN上。過程中也遇到了很多問題，但是為以后的DDoS防御留下的很多經(jīng)驗(yàn)。所以寫下這篇文章，與大家分享。

CC攻擊是目前應(yīng)用層攻擊的主要手段之一，只需要借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的合法請求，就能實(shí)現(xiàn)偽裝和DDoS。

其實(shí)我們都有這樣的體驗(yàn)，訪問一個靜態(tài)頁面，即使人多也不需要太長時間，但如果在高峰期訪問論壇、貼吧等，那就很慢了，因?yàn)榉?wù)器系統(tǒng)需要到數(shù)據(jù)庫中判斷訪問者是否有讀帖、發(fā)言等權(quán)限。訪問的人越多，論壇的頁面越多，數(shù)據(jù)庫壓力就越大，被訪問的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)?shù)拇?。CC攻擊就充分利用了這個特點(diǎn)，模擬多個正常用戶不停地訪問如論壇這些需要大量數(shù)據(jù)操作的頁面，造成服務(wù)器資源的浪費(fèi)。

當(dāng)時我們發(fā)現(xiàn)服務(wù)器的CPU長時間處于100%的狀態(tài)，永遠(yuǎn)都有處理不完的請求，網(wǎng)絡(luò)擁塞，正常訪問被中止,PHP直接卡死了，但是由于CC攻擊技術(shù)性含量高，我們又無法見到真實(shí)源IP，也見不到特別大的異常流量，但服務(wù)器就是無法進(jìn)行正常連接。最后才確定，這些其實(shí)都是CC攻擊的典型特征。

CC攻擊之所以會選擇代理服務(wù)器是因?yàn)榇砜梢杂行У仉[藏自己的身份，也可以繞開防火墻，因?yàn)榛旧纤械姆阑饓Χ紩z測并發(fā)的TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會被認(rèn)為是Connection-Flood。當(dāng)然也可以使用肉雞來發(fā)動CC攻擊，攻擊者使用CC攻擊軟件控制大量肉雞發(fā)動攻擊，肉雞可以模擬正常用戶訪問網(wǎng)站的請求偽造成合法數(shù)據(jù)包，相比前者來說更難防御。

CC攻擊是針對Web服務(wù)在第七層協(xié)議發(fā)起的攻擊，在越上層協(xié)議上發(fā)動DDoS攻擊越難以防御，上層協(xié)議與業(yè)務(wù)關(guān)聯(lián)愈加緊密，防御系統(tǒng)面臨的情況也會更復(fù)雜。比如CC攻擊中最重要的方式之一HTTP Flood，不僅會直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢，對承載的業(yè)務(wù)造成致命的影響，還可能會引起連鎖反應(yīng)，間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫服務(wù)。真的非常的扎心！由于CC攻擊成本低、威力大，很難防御，80%的DDoS攻擊都是CC攻擊。而攻擊造成的后果就是：帶寬資源嚴(yán)重被消耗，網(wǎng)站癱瘓；CPU、內(nèi)存利用率飆升，主機(jī)癱瘓；瞬間快速的打擊，使我們根本無法快速響應(yīng)。

那我們是如何一步一步解決的？其實(shí)在遇到攻擊時，我們有仔細(xì)考慮過很多方案，是選擇高防機(jī)房、機(jī)房流量清洗還是云防御？

遭到攻擊的第一刻，我們首先想到的是更換服務(wù)器的方法。網(wǎng)上也有很多過來人推薦這種辦法，但問題是，CC攻擊主要是從域名攻擊而來，你不可能因?yàn)閷Ψ焦裟阌蛎蛽Q個域名吧，一開始我們找了網(wǎng)上一些小服務(wù)商的高防服務(wù)器轉(zhuǎn)移過去，號稱無視CC攻擊…但結(jié)果效果并不理想，首先對方防火墻誤殺率非常高，有些正常用戶都被攔截了，其次是他們寬帶普遍不高，被攻擊后，雖然可以訪問，但是速度非常慢。無奈之下我們只好往大品牌看，在選擇高防產(chǎn)品時我們對阿里云、騰訊云和知道創(chuàng)宇、百度云加速幾家進(jìn)行了對比。這幾家實(shí)力都很雄厚，價格阿里云>騰訊云>知道創(chuàng)宇>百度云加速，但是除了百度云加速外，前面三家真的貴，怎么貴呢？相當(dāng)于百度云加速價格的十倍以上還高，我們網(wǎng)站也沒多少盈利，如果全部花在防御上的話，那就等于白干了，而且聽說百度云加速是與國外著名的高防CDN CloudFlare同套系統(tǒng)的，效果應(yīng)該特別好，所以綜合考慮我們選擇了百度云加速。

一開始買了百度云加速的專業(yè)版使用，開啟百度云加速的CC防護(hù)強(qiáng)力防護(hù)模式后，還真的防御住了CC攻擊，用了一天后查看報表，我的乖乖！居然攔截了2億次攻擊!最高峰值高達(dá)2000萬次！對方是有多恨我們呀！

但百度云加速的CC防護(hù)強(qiáng)力防護(hù)模式有個不好，就是單個IP首次登陸網(wǎng)站后會顯示有5秒的安全檢測，雖然對正常訪問不會有什么影響，但多多少少會有些影響用戶體驗(yàn)，而且由于5秒跳轉(zhuǎn)導(dǎo)致微信是無法直接打開網(wǎng)站的，因?yàn)槲⑿攀墙咕W(wǎng)頁跳轉(zhuǎn)的，這對我們網(wǎng)站有點(diǎn)傷，聯(lián)系百度云加速后，在他們的推薦下我們又升級了商務(wù)版，商務(wù)版提供超級清洗功能，可以讓官方自義CC防護(hù)規(guī)則，而且沒有5秒盾，升級后終于解決了CC攻擊問題!

最后一點(diǎn)點(diǎn)經(jīng)驗(yàn)給到大家：買防護(hù)千萬別買小服務(wù)商的，既浪費(fèi)時間也容易把業(yè)務(wù)搞死，小服務(wù)商的高防可能會把你正常用戶也攔截了，甚至可能把搜索引擎蜘蛛都給攔截了，那到時真的哭都來不及，而且我們發(fā)現(xiàn)百度云加速價格真的便宜，比那些小服務(wù)商的價格還便宜，但防御真的牛！